Spring Security 中如何让上级拥有下级的所有权限(案例分析)

松哥之前写过类似的文章，但是主要是讲了用法，今天我们来看看原理！本文基于当前 Spring Security 5.3.4 来分析，为什么要强调最新版呢？因为在在 5.0.11 版中，角色继承配置和现在不一样。旧版的方案我们现在不讨论了，直接来看当前最新版是怎么处理的。我们先来一个简单的权限案例。创建一个 Spring Boot 项目，添加 Spring Security 依赖，并创建两个测试用户，如下：然后准备三个测试接口，如下：这三个测试接口，我们的规划是这样的：。接下来我们来配置权限的拦截规则，在 Spring Security 的 configure 方法中，代码如下：这里的匹配规则我们采用了 Ant 风格的路径匹配符，Ant 风格的路径匹配符在 Spring 家族中使用非常广泛，它的匹配规则也非常简单：。最后将遍历结果存入 rolesReachableInOneOrMoreStepsMap 集合中即可。